« Web-ssh » : différence entre les versions
mAucun résumé des modifications |
|||
| Ligne 73 : | Ligne 73 : | ||
L’interface WebSSH est maintenant accessible via <code>https://monserveur/webssh/</code>. L’authentification SSH reste gérée par WebSSH. Une protection Apache (BasicAuth, IP, etc.) peut être ajoutée en amont si nécessaire. | L’interface WebSSH est maintenant accessible via <code>https://monserveur/webssh/</code>. L’authentification SSH reste gérée par WebSSH. Une protection Apache (BasicAuth, IP, etc.) peut être ajoutée en amont si nécessaire. | ||
= Configuration OTP sur WebSSH = | |||
== Objectif == | |||
Configurer une authentification TOTP (Time-based One-Time Password) sur WebSSH, par couple hôte/utilisateur, avec provisioning via QR code et vérification côté serveur. | |||
== Prérequis == | |||
* WebSSH installé et fonctionnel | |||
* Python 3.11+ avec les modules `pyotp`, `qrcode`, `argparse` | |||
* Accès au fichier `totp_secrets.json` dans le bon répertoire | |||
* Serveur SSH distant accessible et configuré avec shell interactif | |||
== Provisioning OTP == | |||
=== Script de génération === | |||
Utiliser un script Python nommé `build-otp-key.py` : | |||
* Génère une clé TOTP unique | |||
* Affiche le QR code dans le terminal | |||
* Enregistre la clé dans un fichier JSON structuré par hôte/utilisateur | |||
Exemple d’appel : | |||
```bash | |||
python3 build-otp-key.py --host main-host --user admin --write | |||
Version du 27 septembre 2025 à 21:45
Installer WebSSH avec reverse proxy Apache
Cette page décrit comment installer WebSSH dans un environnement isolé, le lancer en tant que service systemd, et le rendre accessible via Apache en HTTPS avec prise en charge des WebSocket.
1. Installation dans un environnement virtuel
EN général je travaille avec un user dédié, ici ce serait webssh ou un user d'administration admin. Dans la suite on considère admin.
Créer un environnement Python dédié :
python3 -m venv ~/sources/webssh-env
source ~/sources/webssh-env/bin/activate
pip install webssh
2. Script de lancement
Créer un script start-webssh.sh :
#!/bin/bash
source /home/admin/sources/webssh-env/bin/activate
exec wssh --address=127.0.0.1 --port=8888
Rendre le script exécutable :
chmod +x ~/sources/webssh-env/start-webssh.sh
3. Lancer WebSSH en tant que service
Voir créer un service systemd personnalisé pour créer un fichier webssh.service et activer le démarrage automatique.
4. Configuration Apache en reverse proxy
Dans la section HTTPS du VirtualHost :
Define WebSshURL "/webssh/"
<Location ${WebSshURL}>
ProxyPreserveHost On
ProxyPass http://localhost:8888/
ProxyPassReverse http://localhost:8888/
</Location>
# Support WebSocket
ProxyPassMatch ^/webssh/ws$ ws://localhost:8888/ws
# Support WebSocket via mod_rewrite
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/webssh/ws$
RewriteCond %{QUERY_STRING} (.*)
RewriteRule ^/webssh/ws$ ws://localhost:8888/ws?%1 [P,L]
Modules requis :
sudo a2enmod proxy
sudo a2enmod proxy_http
sudo a2enmod proxy_wstunnel
Redémarrer Apache :
sudo systemctl restart apache2
5. Accès sécurisé
L’interface WebSSH est maintenant accessible via https://monserveur/webssh/. L’authentification SSH reste gérée par WebSSH. Une protection Apache (BasicAuth, IP, etc.) peut être ajoutée en amont si nécessaire.
Configuration OTP sur WebSSH
Objectif
Configurer une authentification TOTP (Time-based One-Time Password) sur WebSSH, par couple hôte/utilisateur, avec provisioning via QR code et vérification côté serveur.
Prérequis
- WebSSH installé et fonctionnel
- Python 3.11+ avec les modules `pyotp`, `qrcode`, `argparse`
- Accès au fichier `totp_secrets.json` dans le bon répertoire
- Serveur SSH distant accessible et configuré avec shell interactif
Provisioning OTP
Script de génération
Utiliser un script Python nommé `build-otp-key.py` :
- Génère une clé TOTP unique
- Affiche le QR code dans le terminal
- Enregistre la clé dans un fichier JSON structuré par hôte/utilisateur
Exemple d’appel : ```bash python3 build-otp-key.py --host main-host --user admin --write